附論：個人資料保護法可否用於保障網路匿名表意？

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

166

設成立。倘若原告所提證據無法達此門檻標準，則可逕行駁回原告請求以防濫訴。

一來可節省司法、調查資源，二來可保護網路匿名表意空間。最後，於通過上述 初步門檻的判斷後，法院再另依「有無保護匿名必要」（如該表意者有無遭到司 法外報復可能）職權為適當處置（例如僅揭露部分與審判進行有關的資訊）。關 於上述操作，本文將於後（5.2.2.2）舉例詳介。

5.1.4 附論：個人資料保護法可否用於保障網路匿名表意？

甫於 2010 年 5 月修正通過，並自 2012 年 10 月起實施其中大部分條文的個 人資料保護法（以下簡稱「個資法」），⁶⁹象徵我國對隱私的保障，隨著科技快速 發展的步伐，邁入全新的里程碑。⁷⁰其中與本文研究主題相關的問題是，個資法 可否應用於保障網路匿名言論？ICP、ISP 業者若向有關機關提供使用者的 IP 位 址資訊，是否會產生個資法問題？目前我國個資法提供哪些保障？保障是否有效？

皆需進一步分析討論。

5.1.4.1 「IP 位址」是否為「個人資料」？

首先需處理的問題是，IP 位址資訊是否構成「個人資料」而適用個資法？

觀察個資法第 2 條規定對「個人資料」的定義，係指「自然人之姓名、出生年月 日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、

病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會 活動及其他得以直接或間接方式識別該個人之資料。」IP 位址資訊顯然非屬於 上述法律條文中的例示資料，至於是否構成「其他得以直接或間接方式識別該個

69 除第 6、54 條條文施行日期，由行政院定之外，其餘條文定自 2012 年 10 月 1 日施行。

70 關於個人資料保護法的評論，參劉定基，「個人資料保護法」初論，台灣法學雜誌，第 159 期，

2010 年 9 月，頁 1-8。劉靜怡，不算進步的立法：「個人資料保護法初步評析」，月旦法學雜誌，

第 183 期，2010 年 8 月，頁 147-164 。來源：http://140.109.196.10/pages/seminar/infotec4/4-3.doc。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

167

人之資料」的部分，國內有論者從法務部曾於 2011 年時所公告的「個資法施行 細則草案」中，規定所謂「個人資料檔案」，除了「備份檔案」外，還包括「軌 跡資料」。並於立法說明指出，「軌跡資料」係指：「個人資料在蒐集、處理、利 用過程中所產生非屬於原蒐集個資本體之衍生資訊（LOG FILES），包括（但不 限於）資料存取人之代號、存取時間、使用設備代號、網路位址（IP）、經過之 網路路徑…等，可用於比對、查證資料存取之適當性。」但最後公告版本中，不 知為何卻刪除「軌跡資料」等文字，認為仍有爭議。⁷¹

另有論者主張，由於 IP 位址代表每部電腦連線的位置，是唯一的數字組合，

假如可以歸屬到特定人身上（例如學校的教職員生使用學校分配的固定 IP 位址，

此 IP 位址與個人發生關連），就可能成為個人資料。⁷²或由 IP 位址相關資訊被他 人蒐集後，是否產生一定影響判斷：對 ISP 業者而言，掌握 IP 位址等同得知使 用者身分；對於 ISP 業者以外之人，仍可能透過 IP 位址得知使用者不欲人知的 社會生活，故皆有保護必要。⁷³此外，亦有從「能否識別」或「能否依循此資料 追蹤至」當事人的角度來判斷，認為軌跡資料可以經過與其他資料比對、連結、

組合分析出使用者的身分與位置，認為屬於個人資料。⁷⁴

本文認為，此一問題，參個資法立法說明可知，該部份條文修正時，係參考

71 池泰毅編，個資法百問，2013 年 1 月，頁 42-43。

72 蕭家捷、賴文智，個人資料保護法 Q&A，2013 年 1 月，頁 184-185。

73 同前註。

74 劉佐國、李世德，個人資料保護法釋義與實務：如何面臨個資保護的新時代，2012 年 12 月，

頁 26-27。

‧

Article 29 Working Party）於 2007 年 6 月所公布的「個人資料概念意見書」（Opinion 4/2007 on the concept of personal data）⁷⁶中，明確認為 IP 位址資訊屬於「可用於 連結、辨識個人的資料」（data relating to an identifiable person）。工作小組指出，

由於網路服務提供者與管理者可透過提供給某使用者的 IP 位址資訊、日期、時

76 The Article 29 Working Party, Opinion 4/2007 on the concept of personal data (June 20, 2007), 可 參http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

169

或有認為 IP 位址僅是一連串的數字組合，僅是代表「某台電腦」的位置所 在，並非用來識別「誰」是該台電腦的使用者，故本身並未直接透露個人身分，

應不構成個人資料。⁷⁹本文認為此看法，恐怕忽略上述歐盟個人資料保護指令第 29 條工作小組所強調的「可連結至個人」的判斷法則。畢竟我國個資法保障範 圍，並不只限「直接」，還有「間接」方式識別該個人的資料，關於何種資料屬 於得以間接方式識別特定個人，關鍵則在於該資料是否可能與其他資料對照、組 合、連結的判斷。⁸⁰而 ISP 業者花費設備、成本儲存 IP 位址資訊的資料的義務，

如前所述，係因國家立法而所生，目的上即是在於用於連結至個人。縱使一般人 無法從 IP 位址「直接」辨識出特定個人，ISP 業者和有需求的利害關係人、法院 卻可輕易、快速且無需耗費鉅大，透過比對即辨識出使用網路服務者為何人，⁸¹ 故本文認為，從「識別特定個人」的角度而言，IP 位址資訊應當屬於個人資料 無誤。

5.1.4.2 「告知義務」與「目的外利用」

肯認 IP 位址資訊「屬於」個人資料而適用個資法後，由於 IP 位址通常非屬 於當事人所主動告知、提供的資訊，ICP、ISP 等網路服務業者向當事人蒐集、

記錄此一資料前，需先踐行個資法第 9 條⁸²的「告知義務」。亦即，應明確告知

26、27 條參照），故此類問題的爭議空間應不大。

79 蕭家捷、賴文智，前揭註 72。

80 劉定基，個人資料的定義、保護原則與個人資料保護法適用的例外，月旦法學教室，第 115 期，2012 年 5 月，頁 47。

81 前揭註 29。

82 個人資料保護法第 9 條：「公務機關或非公務機關依第 15 條或第 19 條規定向當事人蒐集個人 資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、

個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第 3 條規定得 行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。（第

‧

86 http://www.cht.com.tw/personal/upload/files/1020813_FTTx_ADSL.doc. （最後瀏覽日期：2015 年 03 月 19 日。）

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

171

知條款」，告知使用者將會蒐集其「指配號碼及通信紀錄」，亦即，包括其所指配 給用戶的 IP 位址資訊；且於「中華電信股份有限公司電路出租業務服務契約」

第 36 條中，載明其對所掌握相關的資料負有「保密義務」，除使用者要求查閱本 身資料，或司法機關、監察機關或治安機關因偵查犯罪或調查證據所需者、其他 政府機關因執行公權力並有正當理由所需者、與公眾生命安全有關之機關(構)為 緊急救助所需者等於符合個人資料保護法第 20 條第 1 項、電信法第 7 條或其他 相關法令規定查詢等情況外，不得對第三人揭露用戶資訊。⁸⁷

國內外的 ICP 網站業者亦大多已透過修改其「隱私政策」（privacy policy）

來避免發生個資法上責任。國內業者如「PChome 網路家庭」於其「隱私權聲明」

88中，表示其蒐集個人資料的類別包括 IP 位址資訊。蒐集目的則有「行銷、客戶 管理與服務、提供網路購物及其他電子商務服務、履行法定或合約義務、保護當 事人及相關利害關係人之權益、售後服務、以及經營合於營業登記項目或組織章 程所定之業務」和「提升服務品質」；「個人資料的利用」的部份，則記載「除非 事先說明、或為完成提供服務或履行合約義務之必要、或依照相關法令規定或有 權主管機關之命令或要求」，否則不會將足以識別使用者身分的個人資料提供給 第三人（包括境內及境外）、或移作蒐集目的以外之使用；國外網站如「Google」

於台灣版本的「隱私權政策」⁸⁹中，將其所蒐集資訊區分為「使用者主動提供」

（如姓名、電子郵件地址、電話號碼或信用卡號碼）和「經由使用 Google 服務 而取得」（如裝置、位置、紀錄資訊）兩大類別，後者的「紀錄資訊」類別中的

「網際網路通訊位址」即是 IP 位址資訊。Google 並表示，於「符合適用法律、

87 http://www.cht.com.tw/personal/hinet-term.html（最後瀏覽日期：2015 年 03 月 19 日。）

88 http://faq.pchome.com.tw/faq_solution.html?f_id=4&q_id=16&c_nickname=member（最後瀏覽日 期：2015 年 03 月 19 日。）

89 http://www.google.com.tw/intl/zh-HK/policies/privacy/（最後瀏覽日期：2015 年 03 月 19 日。）

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

172

法規、法律程序或政府執行命令」時，將會提交使用者上述的個人資訊。

觀察上述「服務契約」與「隱私政策」，我們可以發現，ICP 業者雖然都有

「告知」其使用者將會蒐集其 IP 位址資訊，但是卻又巧妙地在「資料的使用目 的」中，於「提昇服務品質」外，再以模糊、廣泛的「保護當事人及相關利害關 係人之權益」、「依照相關法令規定或有權主管機關之命令或要求」或「符合適用 法律、法規、法律程序或政府執行命令」等用語，來避免發生「目的外利用」的 情況。⁹⁰然而，本文認為，業者蒐集個人資料的「目的」應當由雙方的「契約關 係」著手解釋，如提昇服務品質等，而非業者單方恣意增加條款內容，就會構成 目的。是以，「符合政府法律」、「依照有權機關命令」與完成契約關係的關聯性 似乎不大，不應解釋成業者蒐集資料的「目的內」利用方式。

不過，即使將業者以「提升服務品質」為目的蒐集使用者個資後，再「依照 法律規定」轉交給政府機關的行為，解釋成「目的外利用」，由於個資法第 20 條第 1 項的但書規範⁹¹（即准予進行「目的外利用」的例外條款，如第 2 款的「增 進公共利益」）中，法務部相關函釋對「公益」向來採較廣義解釋的立場，⁹²將

90 前揭註 62。

91 個資法第 20 條第 1 項：「非公務機關對個人資料之利用，除第 6 條第 1 項所規定資料外，應 於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律 明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、

91 個資法第 20 條第 1 項：「非公務機關對個人資料之利用，除第 6 條第 1 項所規定資料外，應 於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律 明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、

在文檔中 論網路匿名言論之保障－以身分揭露程序為中心 - 政大學術集成 (頁 176-184)